OWASP 标准代码安全审计专家

基于 OWASP Top 10 框架的专业代码安全审查指南，提供可落地的漏洞检测、安全编码实践与修复方案，帮助开发团队系统性提升应用安全防护能力。

基本信息

• 技能名称?security-auditor
• 中文名称?OWASP 标准代码安全审计专家
• 作者?jgarrison929
• 分类?开发
• 版本?v1.0.0
• 标签?development-engineering, security, backend, api, testing, devops

使用方法

使用说明
核心用法
security-auditor 是一款面向开发团队的专业安全审查指南型 Skill，其核心定位是 代码安全审计专家 。用户可通过触发关键词（如 security、OWASP、XSS、SQL injection 等）激活该 Skill，获得针对具体代码场景的安全分析与修复建议。
该 Skill 采用 结构化审查流程 ：首先对代码进行全面的安全审计，识别 OWASP Top 10 框架下的各类漏洞；随后设计安全的认证授权流程，实施输入验证与加密机制；最终输出包含风险等级、具体位置、修复方案的安全审计报告。其输出格式严格遵循 Critical/High/Medium/Low 四级风险分类，便于开发团队优先处理关键问题。
显著优点
第一，权威性与系统性兼备 。该 Skill 直接对标 OWASP Top 10 2021 标准，覆盖 A01 失效访问控制至 A07 跨站脚本等核心风险领域，每个检查项均配有"错误示例→正确示例→检查清单"的三段式教学结构，大幅降低安全知识的学习门槛。
第二，实战导向的代码模板 。不同于纯理论的安全文档，该 Skill 提供了大量可直接落地的 TypeScript/Next.js 代码片段，包括 CSP 安全头部配置、Zod 输入验证模式、JWT 安全实现、文件上传校验等，开发者可复制修改后直接使用。
第三，深度防御的设计理念 。Skill 强调"永不信任用户输入""最小权限原则""安全失败"等核心安全哲学，引导开发者建立系统性的安全思维，而非仅修复单点漏洞。
潜在缺点与局限性
框架绑定性较强 。Skill 的代码示例主要基于 Next.js、Prisma、React 技术栈，对于使用 Vue、Django、Spring Boot 等其他技术栈的团队，需要自行进行语法转换，增加了使用成本。
动态威胁覆盖不足 。作为静态指南，Skill 无法实时获取最新 CVE 漏洞库或针对特定依赖版本进行扫描，对于供应链攻击、零日漏洞等新兴威胁的响应能力有限。
缺乏自动化执行能力 。该 Skill 仅提供审查指南，无法直接对接 CI/CD 流水线执行自动化安全扫描，仍需人工介入判断和修复。
适合的目标群体
该 Skill 最适合以下三类用户： 中小型全栈开发团队 （缺乏专职安全工程师，需要快速建立安全基线）、 技术负责人与架构师 （进行代码评审时作为安全检查清单）、 安全初学者 （通过对比正反面示例系统学习安全编码）。对于已配备专业安全团队、使用商业 SAST/DAST 工具的大型企业，该 Skill 可作为补充参考而非主要依赖。
使用风险
性能风险 ：Skill 建议的安全措施（如 bcrypt 12+ rounds、DOMPurify sanitization）可能带来 10-30% 的性能开销，高并发场景需进行基准测试。
依赖项风险 ：示例中引用的 zod、jose、@upstash/ratelimit 等库需保持更新，建议配合 npm audit 定期扫描。
配置误用风险 ：CSP 等安全头部配置过于严格可能导致功能异常，建议采用渐进式收紧策略，先在 report-only 模式验证。